我正在开发 Java Jersey 应用程序。在我的
pom.xml我正在利用开源 OWASP 依赖项工具来扫描依赖项中的漏洞。 我关心的具体依赖关系是:
我想知道这些依赖项是否确实存在严重漏洞。如果是的话,您能否建议如何解决这个问题?
如果有任何关于可以检查依赖性漏洞的替代开源工具的建议,我将不胜感激。
我已将依赖项升级到最新版本,但仍然显示出严重漏洞。
必须仔细检查 OWASP 依赖性检查工具(与任何其他类似工具一样)的输出,因为它可能包含误报(在 OWASP 工具中很常见)和“有争议的”漏洞。
我创建了以下 POM,其中包含您列出的依赖项以及最新版本的 OWASP
dependency-check-maven<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<name>Test App</name>
<groupId>test</groupId>
<artifactId>testApp</artifactId>
<version>1.0.0-SNAPSHOT</version>
<packaging>jar</packaging>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.1.2</version>
<relativePath />
</parent>
<dependencies>
<dependency>
<groupId>com.datastax.cassandra</groupId>
<artifactId>cassandra-driver-extras</artifactId>
<version>3.11.4</version>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.15.2</version>
</dependency>
<dependency>
<groupId>org.json</groupId>
<artifactId>json</artifactId>
<version>20230618</version>
</dependency>
<dependency>
<groupId>org.apache.spark</groupId>
<artifactId>spark-core_2.13</artifactId>
<version>3.4.1</version>
</dependency>
<dependency>
<groupId>org.apache.kerby</groupId>
<artifactId>kerb-server</artifactId>
<version>1.0.1</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>8.4.0</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>
</project>
然后我对其执行了
mvn verifyVulnerable Dependencies: 25
Vulnerabilities Found: 56
让我们只检查您列出的前 3 个库的漏洞:
cassandra-driver-extras-3.11.4.jarjackson-databind-2.15.2.jarjson-20230618.jar等等。